Regístrese
  1. Blog
  2. Conformidad
  3. ¿Qué es un DSAR? Cómo gestionar las solicitudes de acceso del interesado

¿Qué es un DSAR? Cómo gestionar las solicitudes de acceso del interesado

DSAR illustration showing a magnifying glass inspecting a stylized data profile with personal data elements like name, email, cookie ID and IP address becoming visible, with bold DSAR text, on a purple to blue gradient background with geometric data patterns

Una solicitud de acceso del interesado (DSAR, por sus siglas en inglés: Data Subject Access Request) es uno de los derechos más importantes otorgados por el Reglamento General de Protección de Datos (RGPD). Permite a cualquier persona solicitar a una organización qué datos personales conserva sobre ella y recibir una copia de dichos datos.

Para los editores, los DSAR son una realidad práctica de operar bajo el RGPD. Ya sea que recopile datos a través de suscripciones a boletines, sistemas de comentarios, analítica o cookies, sus usuarios tienen derecho a preguntar qué información conserva y cómo la utiliza. Esta guía explica qué son los DSAR, qué exige la ley y cómo establecer un proceso que los gestione de forma eficiente.

¿Qué es un DSAR?

DSAR son las siglas de Data Subject Access Request (solicitud de acceso del interesado). Es el nombre formal del derecho de las personas —denominadas «interesados» en el RGPD— a solicitar acceso a los datos personales que una organización conserva sobre ellas.

Este derecho está establecido en el artículo 15 del RGPD, que dispone que los interesados tienen derecho a obtener confirmación de si sus datos personales están siendo tratados y, en caso afirmativo, a recibir una copia de dichos datos junto con información complementaria específica.

Un DSAR no consiste únicamente en obtener una descarga de datos. La persona también tiene derecho a conocer:

  • Las finalidades del tratamiento: por qué se utilizan sus datos
  • Las categorías de datos tratados: qué tipos de información se conservan
  • Los destinatarios: a quién se han comunicado o se comunicarán los datos, incluidos anunciantes y proveedores de analítica de terceros
  • El plazo de conservación: durante cuánto tiempo se almacenarán los datos
  • El origen: de dónde se obtuvieron los datos, si no fueron recabados directamente de la persona
  • La existencia de decisiones automatizadas: incluida la elaboración de perfiles y la lógica aplicada
  • Las transferencias internacionales: si los datos se transfieren a terceros países u organizaciones internacionales, y las garantías aplicadas
  • Sus otros derechos: la existencia del derecho a solicitar la rectificación, supresión o limitación del tratamiento, el derecho de oposición y el derecho a presentar una reclamación ante una autoridad de control

En resumen, un DSAR ofrece a las personas una ventana a cómo se gestionan exactamente sus datos.

¿Qué es un interesado?

Un interesado es cualquier persona física viva, identificada o identificable, cuyos datos personales están siendo tratados. Según el RGPD, esto abarca a cualquier persona que pueda ser identificada directa o indirectamente mediante un identificador como un nombre, una dirección de correo electrónico, una dirección IP, un ID de cookie u otros factores específicos de su identidad.

Para los editores, los interesados incluyen a cualquier persona que interactúe con su sitio web: usuarios registrados, suscriptores de boletines, personas que dejan comentarios e incluso visitantes anónimos cuyos datos se recopilan mediante cookies o herramientas de analítica. Si puede vincular un dato a una persona, esa persona es un interesado.

Derechos del interesado en el marco del RGPD

El derecho de acceso (DSAR) es uno de los varios derechos que el RGPD reconoce a los interesados. Comprender cómo encaja junto con los demás derechos ayuda a los editores a desarrollar un proceso de cumplimiento integral.

El RGPD establece los siguientes derechos del interesado:

  1. Derecho de acceso (artículo 15): el derecho a obtener una copia de los datos personales e información sobre cómo se tratan. Este es el DSAR.
  2. Derecho de rectificación (artículo 16): el derecho a que se corrijan los datos personales inexactos.
  3. Derecho de supresión (artículo 17): también conocido como el «derecho al olvido». El derecho a que se eliminen los datos personales en determinadas circunstancias.
  4. Derecho a la limitación del tratamiento (artículo 18): el derecho a restringir la forma en que una organización utiliza los datos personales.
  5. Derecho a la portabilidad de los datos (artículo 20): el derecho a recibir los datos personales en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otra organización.
  6. Derecho de oposición (artículo 21): el derecho a oponerse a determinados tipos de tratamiento, incluido el marketing directo.
  7. Derechos relacionados con las decisiones automatizadas (artículo 22): el derecho a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado, incluida la elaboración de perfiles.

Un DSAR suele ser la puerta de entrada a los demás derechos. Una vez que alguien ve qué datos conserva usted, puede solicitar a continuación su eliminación, corrección u oponerse a la forma en que se utilizan.

¿Quién puede presentar un DSAR?

Cualquier interesado cuyos datos personales trate su organización puede presentar un DSAR. No se exige que la persona sea cliente, suscriptora o usuaria registrada. Si conserva algún dato personal sobre alguien —aunque solo sea una dirección IP registrada por su servidor web—, esa persona puede presentar una solicitud.

Los DSAR también pueden ser presentados por:

  • Representantes autorizados: alguien que actúe en nombre del interesado, como un abogado o un padre/madre que actúe en representación de un menor
  • Menores: los menores de edad pueden presentar DSAR, aunque en la práctica suele actuar un padre o tutor en su nombre
  • Empleados: los miembros del personal pueden presentar DSAR sobre sus propios datos laborales

No existen requisitos formales sobre cómo debe presentarse un DSAR. Puede llegar por correo electrónico, por carta, a través de un formulario web, por un mensaje en redes sociales o incluso como una solicitud verbal. No es necesario que mencione «DSAR» ni «artículo 15» de forma explícita: cualquier solicitud de datos personales cuenta.

Requisitos legales para gestionar DSAR

El RGPD establece normas claras sobre cómo deben responder las organizaciones a los DSAR. El incumplimiento puede dar lugar a reclamaciones ante las autoridades de control y, en última instancia, a medidas coercitivas.

Plazo de respuesta

Debe responder a un DSAR en el plazo de un mes natural desde su recepción. El plazo se calcula a partir de la fecha de recepción; por ejemplo, una solicitud recibida el 5 de marzo debe responderse antes del 5 de abril. Si el último día cae en fin de semana o día festivo, dispone hasta el siguiente día laborable.

Para solicitudes complejas o numerosas, puede ampliar el plazo dos meses adicionales (hasta un total de tres meses). No obstante, debe informar al interesado de la prórroga y de los motivos dentro del plazo inicial de un mes.

Coste

Los DSAR son gratuitos en la gran mayoría de los casos. Solo puede cobrar una «tasa razonable» si la solicitud es manifiestamente infundada o excesiva, por ejemplo, si la misma persona presenta solicitudes idénticas de forma reiterada. Incluso en ese caso, debe poder justificar el cobro.

Formato de la respuesta

Si la solicitud se realizó por medios electrónicos (por ejemplo, por correo electrónico), debe proporcionar la respuesta en un formato electrónico de uso común, como PDF o CSV. Los datos deben facilitarse de forma concisa, transparente y fácil de comprender.

Verificación de identidad

Antes de revelar datos personales, debe verificar que la persona que realiza la solicitud es quien dice ser. Enviar los datos de otra persona en respuesta a una solicitud fraudulenta constituiría en sí mismo una violación de datos.

Para los usuarios registrados, puede verificar la identidad pidiéndoles que inicien sesión. Para otras personas, puede solicitar información identificativa adicional, aunque no debe pedir más datos de los necesarios para confirmar su identidad.

Datos de terceros

Si los datos que conserva incluyen información sobre otras personas, debe tener cuidado de no revelarla. El RGPD exige que equilibre el derecho de acceso del interesado con los derechos de privacidad de terceros. En la práctica, esto implica eliminar los datos personales de otras personas de la respuesta.

¿Se puede denegar un DSAR?

Solo puede denegar un DSAR en circunstancias limitadas:

  • Solicitudes manifiestamente infundadas: cuando la persona claramente no tiene intención real de ejercer sus derechos (por ejemplo, declara expresamente que pretende causar una perturbación)
  • Solicitudes manifiestamente excesivas: solicitudes reiteradas de la misma persona sin un intervalo razonable, o solicitudes de alcance desproporcionado

El umbral para la denegación es alto. Debe poder demostrar por qué una solicitud es manifiestamente infundada o excesiva. Si decide denegarla, debe informar al interesado de los motivos y comunicarle que tiene derecho a presentar una reclamación ante una autoridad de control.

No puede denegar un DSAR simplemente porque resulte inconveniente, requiera mucho tiempo o sea costoso de atender.

¿Qué datos deben proporcionar los editores?

Para los editores, responder a un DSAR implica recopilar datos personales de todos sus sistemas. Los tipos de datos que puede necesitar proporcionar incluyen:

  • Información de la cuenta: nombre de usuario, dirección de correo electrónico, nombre visible, fecha de registro
  • Comentarios y contenido: cualquier comentario publicado, contribuciones en foros o contenido generado por el usuario
  • Datos de boletines: estado de suscripción, preferencias de correo electrónico, historial de envíos
  • Datos de analítica: historial de navegación, páginas visitadas, datos de sesión vinculados a la persona
  • Registros de consentimiento: registros de a qué consintió el usuario y cuándo, incluidos los registros de la plataforma de gestión de consentimiento (CMP) y qué socios publicitarios autorizó el usuario
  • Registros técnicos: direcciones IP, información del navegador, registros de acceso al servidor
  • Registros de comunicaciones: correos electrónicos de soporte, envíos a través de formularios de contacto

Solo está obligado a proporcionar los datos que usted mismo conserva como responsable del tratamiento. La mayoría de los editores no recopilan directamente datos de seguimiento publicitario; en su lugar, cuando un usuario da su consentimiento a través de una CMP, consiente a una lista de socios publicitarios declarados (como ad exchanges, SSP y DSP) que suelen actuar como responsables independientes del tratamiento de sus propios datos. Si un usuario desea acceder a los datos que esos socios conservan, debe presentar solicitudes independientes a cada uno de ellos. Su función como editor es informar al solicitante de qué socios trabaja con usted y proporcionarle enlaces a sus políticas de privacidad, para que sepa a quién dirigir los DSAR adicionales.

Dicho esto, la relación jurídica precisa entre un editor y sus socios de ad tech no siempre es sencilla. En algunos casos —especialmente cuando un editor incorpora etiquetas o plugins de terceros que desencadenan la recopilación de datos— los tribunales han considerado que el operador del sitio web y el tercero pueden ser corresponsables del tratamiento en la recopilación inicial de datos. Si mantiene un acuerdo de corresponsabilidad con algún socio, es posible que deba coordinarse en las respuestas a los DSAR como parte de su acuerdo conforme al artículo 26.

Tampoco está obligado a proporcionar datos que realmente no conserva o que no puede identificar razonablemente como pertenecientes al solicitante. Por ejemplo, si sus datos de analítica están completamente anonimizados y no pueden vincularse a una persona, quedan fuera del ámbito de un DSAR.

Cómo gestionar un DSAR: paso a paso

Establecer un proceso claro antes de recibir su primer DSAR facilita enormemente su gestión. A continuación se presenta un enfoque práctico paso a paso:

Paso 1: Identificar la solicitud

Un DSAR no necesita emplear un lenguaje específico. Forme a su equipo para reconocer las solicitudes que esencialmente preguntan «¿qué datos tienen sobre mí?». Pueden llegar a través de su correo electrónico de soporte, formulario de contacto, redes sociales o cualquier otro canal.

Registre la solicitud de inmediato y anote la fecha de recepción: en ese momento comienza a correr el plazo de un mes.

Paso 2: Verificar la identidad del solicitante

Confirme que la persona es quien dice ser. Los métodos incluyen:

  • Pedirle que envíe la solicitud desde su dirección de correo electrónico registrada
  • Pedirle que inicie sesión en su cuenta y la presente a través de un formulario específico
  • Solicitar un dato identificativo que usted ya posea (por ejemplo, confirmar su nombre de usuario)

No solicite una identificación excesiva. No debe pedir un pasaporte o documento de identidad oficial a menos que ya recopile ese tipo de datos.

Paso 3: Localizar los datos

Busque en todos los sistemas donde puedan almacenarse datos personales. Para un editor típico, esto incluye:

  • Sistema de gestión de contenidos (WordPress, Drupal, etc.)
  • Plataforma de email marketing (Mailchimp, SendGrid, etc.)
  • Plataforma de analítica (Google Analytics, etc.)
  • Plataformas publicitarias y herramientas de gestión de consentimiento
  • Sistemas de atención al cliente
  • Registros del servidor
  • Procesadores de pagos (para sitios con suscripciones)

Mantener un documento de mapeo de datos —un registro de qué datos personales recopila, dónde se almacenan y quién tiene acceso— agiliza considerablemente este paso.

Paso 4: Recopilar y revisar

Reúna todos los datos relevantes y revíselos antes de enviarlos. Compruebe:

  • Datos personales de terceros que deban eliminarse de la respuesta
  • Información comercialmente sensible o legalmente protegida
  • Exhaustividad: ¿ha consultado todos los sistemas?

Paso 5: Responder dentro del plazo

Envíe los datos al solicitante en un formato claro y accesible. Incluya la información complementaria exigida por el artículo 15: finalidades del tratamiento, categorías de datos, destinatarios, plazos de conservación e información sobre sus otros derechos.

Si necesita más tiempo, notifique al interesado la prórroga dentro del plazo inicial de un mes.

Paso 6: Documentar todo

Conserve un registro de la solicitud, su proceso de verificación, los datos proporcionados y la fecha de su respuesta. Esta documentación demuestra el cumplimiento si la solicitud es revisada posteriormente por una autoridad de control.

¿Cuántos DSAR deben esperar los editores?

Para la mayoría de los editores pequeños y medianos, los DSAR siguen siendo relativamente poco frecuentes. Muchos pueden recibir solo un puñado al año, o ninguno. Sin embargo, la tendencia es claramente ascendente: la concienciación de los consumidores sobre sus derechos en materia de datos está creciendo, y las encuestas del sector muestran que el volumen de DSAR aumenta significativamente cada año. Esto significa que es importante contar con un proceso establecido incluso si aún no ha recibido ninguna solicitud.

La buena noticia es que no es necesario invertir de inmediato en una plataforma automatizada de gestión de DSAR. Lo que importa es estar preparado: saber qué datos conserva, tener un proceso documentado y poder responder dentro del plazo legal cuando llegue una solicitud. Una simple hoja de cálculo para el seguimiento de solicitudes, un conjunto de plantillas de respuesta y un mapeo de datos claro son suficientes para que la mayoría de los editores gestionen los DSAR de forma eficiente. Si el volumen de solicitudes crece significativamente, podrá considerar herramientas más sofisticadas en ese momento.

DSAR en el marco de otras leyes de privacidad

Aunque los DSAR se asocian más comúnmente con el RGPD, existen derechos de acceso similares en otras normativas de privacidad:

  • RGPD del Reino Unido: el Reino Unido conservó el marco de DSAR tras el Brexit. Las normas son esencialmente idénticas a las del RGPD de la UE, aplicadas por la Oficina del Comisionado de Información (ICO).
  • CCPA/CPRA: los consumidores de California tienen el «derecho a saber» qué información personal ha recopilado una empresa. El plazo de respuesta es de 45 días (ampliable otros 45 días).
  • LGPD (Brasil): los interesados pueden solicitar confirmación del tratamiento y acceso a sus datos. El responsable debe responder en un plazo de 15 días.
  • Otras leyes estatales de EE. UU.: Virginia (VCDPA), Colorado (CPA), Connecticut (CTDPA) y otros estados con leyes de privacidad incluyen derechos de acceso similares con plazos de respuesta variables.

Si su sitio web atiende a una audiencia global, puede recibir solicitudes de acceso en el marco de múltiples regulaciones. Construir un único proceso sólido que cumpla los requisitos del RGPD generalmente satisfará los derechos de acceso de otras leyes, ya que el RGPD tiende a ser el más exigente.

Mejores prácticas de DSAR para editores

Basándose en las directrices del ICO y otras autoridades de control, estas son las mejores prácticas para editores que gestionan DSAR:

Crear un canal de solicitud específico

Publique un método claro para presentar DSAR en su sitio web: una dirección de correo electrónico dedicada (por ejemplo, privacidad@sudominio.com) o un formulario web enlazado desde su política de privacidad. Esto reduce el riesgo de que las solicitudes se pierdan o se retrasen en una bandeja de entrada general.

Mantener un mapeo de datos

Documente qué datos personales recopila, dónde se almacenan, para qué se utilizan y quién tiene acceso. Un mapeo de datos actualizado convierte una búsqueda de varios días en una lista de verificación sencilla.

Conservar registros de consentimiento

Utilizar una plataforma de gestión de consentimiento (CMP) le ayuda a mantener registros claros de a qué consintió cada usuario y cuándo. Estos registros suelen formar parte de lo que debe proporcionar en respuesta a un DSAR, y también demuestran su cumplimiento del RGPD de forma más amplia.

Clickio Consent, una CMP certificada por Google, mantiene automáticamente registros detallados de consentimiento para cada interacción del usuario, incluidas marcas de tiempo, opciones de consentimiento y qué socios publicitarios autorizó el usuario. También registra información detallada sobre cada socio: su política de privacidad, los tipos de datos que trata, las cookies que utiliza y las finalidades para las que procesa los datos. Esto facilita la recuperación de datos de consentimiento al responder a los DSAR y proporciona una pista de auditoría que demuestra el cumplimiento ante las autoridades de control.

Prueba Clickio Consent Gratis

Formar a su equipo

Asegúrese de que cualquier persona que pueda recibir un DSAR —personal editorial, atención al cliente, marketing— sepa cómo reconocer una solicitud y a quién derivarla. Una solicitud no atendida puede convertirse fácilmente en un incumplimiento.

Preparar plantillas de respuesta

Cree plantillas de cartas para acusar recibo, solicitar la verificación de identidad, proporcionar los datos y explicar cualquier prórroga. Las plantillas aceleran los tiempos de respuesta y garantizan la coherencia.

Revisar la política de conservación de datos

Cuantos menos datos personales conserve, menos tendrá que buscar cuando llegue un DSAR. Una buena política de conservación de datos —eliminar los datos que ya no necesita— simplifica el cumplimiento de los DSAR y reduce su riesgo general.

Errores comunes con los DSAR que debe evitar

Las autoridades de control han identificado varios errores frecuentes que cometen las organizaciones al gestionar DSAR:

  • Incumplir el plazo: el plazo de un mes comienza desde la fecha en que recibe la solicitud, no desde el día siguiente. Si necesita más tiempo, debe notificarlo al solicitante dentro de ese primer mes.
  • Solicitar una identificación excesiva: pedir una copia del pasaporte cuando bastaría una simple confirmación por correo electrónico es desproporcionado y puede vulnerar en sí mismo el principio de minimización de datos del RGPD.
  • Búsquedas incompletas: revisar el CMS pero olvidar el email marketing, la analítica o los sistemas de copias de seguridad. Cada sistema que contenga datos personales debe ser consultado.
  • Revelar datos de terceros: no eliminar la información personal de otras personas en la respuesta.
  • Cobrar una tasa: salvo que la solicitud sea manifiestamente infundada o excesiva, no puede cobrar por un DSAR. Este es un cambio respecto a las normas anteriores al RGPD que puede sorprender a algunas organizaciones.
  • Ignorar las solicitudes verbales: un DSAR realizado por teléfono es tan válido como uno por escrito. Si recibe uno verbalmente, documéntelo e inicie el proceso.

¿Qué sucede si no cumple?

No gestionar correctamente un DSAR puede tener consecuencias reales. Los interesados insatisfechos con su respuesta —o que no reciban respuesta alguna— pueden presentar una reclamación ante una autoridad de control como el ICO (Reino Unido) o su autoridad nacional de protección de datos (UE).

Las autoridades de control pueden:

  • Ordenarle que cumpla con la solicitud en un plazo específico
  • Emitir un apercibimiento
  • Imponer multas administrativas: el RGPD permite sanciones de hasta 20 millones de euros o el 4 % de la facturación anual global, la cifra que sea mayor, por infracciones graves
  • Ordenar la suspensión de las actividades de tratamiento de datos

En la práctica, la mayoría de las reclamaciones por DSAR resultan en que la autoridad ordena a la organización responder adecuadamente, en lugar de imponer multas directamente. Sin embargo, un patrón de solicitudes ignoradas o un incumplimiento particularmente grave pueden dar lugar a medidas coercitivas.

Los interesados también tienen derecho a reclamar una indemnización a través de los tribunales por daños materiales o inmateriales causados por infracciones del RGPD, incluido el incumplimiento en la gestión de DSAR.

Lista de verificación de DSAR para editores

Utilice esta lista de verificación para asegurarse de que su proceso de DSAR es completo:

PasoAcción
1Publicar un canal claro para solicitudes de DSAR (correo electrónico de privacidad o formulario web) en su política de privacidad
2Formar a todo el personal que pueda recibir solicitudes para reconocer y derivar los DSAR
3Crear y mantener un mapeo de datos de todos los datos personales que recopila y dónde se almacenan
4Preparar plantillas de respuesta para acuse de recibo, verificación de identidad y comunicación de datos
5Implementar procedimientos de verificación de identidad proporcionados a sus datos
6Establecer un sistema de seguimiento para controlar los plazos de los DSAR
7Utilizar una CMP para mantener registros de consentimiento auditables
8Revisar y minimizar la conservación de datos para reducir el alcance de los DSAR
9Documentar su proceso de gestión de DSAR y conservar registros de todas las solicitudes y respuestas

Simplifique el cumplimiento con las herramientas adecuadas

Gestionar los DSAR de forma eficaz es mucho más sencillo cuando la recopilación de datos y la gestión del consentimiento están bien organizadas. Una plataforma de gestión de consentimiento centraliza los registros de consentimiento, lo que permite recuperar más rápidamente los datos de consentimiento que frecuentemente forman parte de la respuesta a un DSAR.

Clickio Consent es una CMP certificada por Google en la que confían más de 2.000 editores en todo el mundo. Gestiona la recopilación de consentimiento conforme al RGPD, la CCPA/CPRA, otras leyes de privacidad estatales de EE. UU. y otras normativas de privacidad globales, mientras mantiene registros detallados de cada interacción de consentimiento. Esto no solo facilita las respuestas a los DSAR, sino que respalda su estrategia de cumplimiento del RGPD de forma más amplia, incluido el principio de responsabilidad proactiva que exige demostrar el cumplimiento cuando se le requiera.

Empiece con Clickio Consent
(Visited 1 times, 1 visits today)
Ver más artículos sobre este tema: Conformidad
Regístrese